好,大家都打开了吗,有问题随时告诉我,(跑去解答问题去了)如果大家在上课的时候有任何疑问,随时可以打断我,不用给我面子,我也不一定能回答所有问题,不过没关系,交流总会进步的。
好,我们继续第一个我要介绍的是local agent。
什么叫local agent,大家打开fileSelect settings
>
这时候,大家可能只看到一个local 下面是你的网卡,这就叫做一个local agent。
事实上,一个local agent 就像一个探针。
我们知道Sniffer的工作原理很简单,就是把网卡设成混杂模式(叫做promiscuous),所谓混杂模式,就是把所有数据包接受下来放入内存,大家知道一般情况下,PC机只接受目的mac地址为自己网卡或广播、组播的数据包。sniffer就是这样把所有数据包都接收下来,在进行分析。
大家看我这里有多个agent,怎样可以做多个agent呢,可以不同网卡做不同的agent,就像你们的分布式sniffer一样,有多个网卡,那就是多个agent,infinistream也一样。
其实一个网卡,也可以做多个agent,大家试一下,new一个,给他加上说明,就叫101把,选中你们的网卡,下面选no pod,copy setting留空,那个pod是你外接sniffer book时候用的。大家看看你们的agent多了一个,101括号local_2。对不对(同学们:对)
好,不错。
我们为什么建立多个agent 呢。不同的agent可以定义不同的阀值,可以有不同的过滤器,可以有不同的触发器,不同的地址本。
比如说,你们有一台笔记本装着sniffer,大家都用它,那不同的工程师可以自己定义一个agent,自己定义自己的过滤器,互不干涉,比如不同的网段有不同的阀值,也可以定义不同的agent。
更多内容请看PCdog.com--Sniffer安全技术 Sniffer攻防原理专题
